DevOps VS ИБ: вечное противостояние

DevOps-инженеры стремятся выкатывать прод как можно быстрее. Специалисты по ИБ — проверяют всё до последнего байта. Один говорит «давай быстрее», другой — «тормози, тут дыра». Кто прав? А кто мешает жить? Или правда — где-то посередине? В эфире разобрали: — Почему безопасники — вечные «антагонисты» DevOps — Кейсы, когда ИБ рвёт пайплайн в клочья — DevOps как угроза или партнер безопасности? — Абсурдные требования ИБ и халатность DevOps — кто чаще грешит? — Возможны ли доверие и синергия между командами? Спикеры: — Мона Архипова, эксперт по ИБ — Виктор Бобыльков, CISO, МТС Web Services — Андрей Сухоруков, Lead DevOps, «Лаборатория Касперского» — Виктория Волкова, SRE, Т-банк Модератор: Антон Гаврилов («Шерлок», Axel PRO) 🎥 Смотрите, делитесь с командой и сохраняйте в закладки Тайм-коды: 00:00:00 Введение 00:11:54 Проблемы с изменением процессов в DevOps 00:13:40 Риски безопасности в стартапах 00:14:46 Необходимость изменений в подходах DevOps 00:16:15 Проблемы практического применения знаний 00:17:46 Роль бизнеса в обеспечении безопасности 00:21:28 Взаимодействие между безопасностью и DevOps 00:22:38 Ответственность за безопасность продукта 00:23:47 Проблемы информационной безопасности в реальном мире 00:24:44 Роль специалистов по безопасности 00:26:45 Подход к безопасности 00:29:15 Проблемы контейнеров и Kubernetes 00:31:03 Уязвимости контейнеров 00:34:05 Проблемы с логированием и реагированием на инциденты 00:35:45 Делегирование ответственности 00:36:45 Роль безопасников в инцидентах 00:37:38 Уязвимости и доверие 00:39:27 Инциденты и их восприятие 00:41:04 Психологические аспекты безопасности 00:42:28 Смертные грехи в DevOps 00:43:43 Проблемы с уязвимостями 00:45:03 Решения по уязвимостям 00:48:06 Эксплуатируемость уязвимостей 00:49:06 Абсурдные требования от ИБ 00:50:58 Отрыв теории от практики 00:52:56 Проблемы взаимодействия 00:54:03 Различие подходов ИБ и DevOps 00:55:53 Пример компрометации учётных данных 01:00:27 Требования к специалисту по информационной безопасности 01:01:25 Идеальный безопасник 01:02:14 Опрос о необходимости информационной безопасности в DevOps 01:02:40 Проблемы с документацией 01:03:47 Сертификация и документация 01:05:44 Автоматизация документации 01:07:52 Компетенция сотрудников 01:11:17 Изоляция и автоматизация 01:12:18 Проблемы с визуализацией микросервисов 01:13:09 Роль DevOps и бизнес-процессов 01:14:23 Распределение ответственности 01:15:55 Сиквенс-диаграммы и их роль 01:17:48 Экономическая эффективность 01:18:35 Роль архитектора и сегментация сети 01:21:41 Квалификация и влияние ИБ 01:23:24 Интеграция безопасности в DevOps 01:23:41 Введение в тему союза 01:24:22 Масштабы рисков и компромиссы 01:25:04 Открытость и взаимодействие 01:26:25 Обучение и инциденты 01:27:51 Роль ИБ в бизнес-процессах 01:31:15 Проблемы взаимодействия 01:35:36 Обучение и кибербезопасность 01:37:12 Ограничения знаний юристов 01:38:04 Необходимость технических знаний 01:38:51 Различия между «бумажной» и технической безопасностью 01:40:12 Конфликты между ИБ и DevOps 01:45:13 Роль медиатора в конфликтах 01:48:16 Признаки провала информационной безопасности 01:50:26 Необходимость признания проблем 01:50:55 Внутренний пентест и проблемы безопасности 01:51:54 Последствия увольнения директора по кибербезопасности 01:53:22 Подбор и перекомпоновка сотрудников 01:54:58 Роль регламентов и личных договорённостей 01:58:29 Взаимодействие между отделами 02:00:27 Проблемы с терминами и понятийным аппаратом 02:02:25 Взаимодействие в условиях инцидентов 02:02:38 Сертификация облачных платформ 02:08:14 Успешные кейсы интеграции 02:11:03 Стратегия и адаптация 02:12:36 Мониторинг и процессы 02:14:05 Экспертиза и консультации 02:14:47 Постоянная адаптация 02:15:33 Цифровизация в индустрии 02:16:03 Стратегия безопасности 02:17:08 Начало безопасной разработки 02:17:59 Системы версионирования кода 02:18:57 Критика безопасности 02:20:53 Итоги